Gegevensbescherming vermenigvuldigt boetes met freelancers en bedrijven om de DNI van haar klanten te scannen

Nieuws
Gegevensbescherming vermenigvuldigt boetes met freelancers en bedrijven om de DNI van haar klanten te scannen
  1. MKB -bedrijven moeten gegevens van hun klanten verzamelen, maar gegevensbescherming kan hen bestraffen
  2. Een sanctie van 70.000 euro die twijfels van evenredigheid verhoogt
  3. Waarom vermenigvuldigen sancties zich in de toeristische sector voor gegevensbescherming?
  4. De informatieve notitie van juni van de AEPD: een duidelijke kennisgeving aan de sector
  5. Praktische gevolgen voor freelance en ondernemingen

Zelfbewerkingen en kleine bedrijven blijven geconfronteerd met ingewikkeld land in termen van Gegevensbescherming. Hoewel de Royal Decreet 933/2021 dwingt hen tot Verzamel en stuur bepaalde gegevens naar de autoriteiten Van zijn gasten overweegt het Spaanse bureau voor gegevensbescherming (AEPD) illegale scan of fotokopie de volledige DNI.

Advocaat Rodanthi Tzortzaki, van Navas & Cusi Abogados, legde aan deze media uit dat “de sleutel is in de weging tussen het principe van data -minimalisatie en de wettelijke verplichting van identiteitsverificatie. Aepd geeft prioriteit aan de eerste, maar Zonder technische oplossingen te bieden Levensvatbaar voor digitale lodges. “Met andere woorden: het bestraft in toenemende mate bedrijven voor het scannen van een DNI, ondanks het feit dat de voorschriften hen dwingen gegevens van hun klanten te verzamelen.

De laatst bekende resolutie weerspiegelt deze spanning: een bedrijf in de sector werd dit motief bestraft met 70.000 euro (teruggebracht tot 42.000 zoals ze vrijwillige betaling zijn) ondanks het feit dat, zoals beweerd,, zoals beweerd, Het heeft geen afbeelding opgeslagen en beperkt om een ​​automatische lezing uit te voeren gelijkwaardig aan de gezicht -to -face review die een receptioniste zou doen. Voor de advocaat poseren sancties van dit bedrag “Twijfels van evenredigheid'En ze genereren toenemende onzekerheid tussen autonome en kleine bedrijven.

Aan dit scenario wordt de informatieve notitie toegevoegd die door de AEPD in juni is gepubliceerd, waarin het verduidelijkt dat het niet is toegestaan ​​om een ​​kopie van de ID of het paspoort in te vragen. Hoewel het geen nieuwe verplichtingen introduceert, versterkt het de interpretatieve lijn van het organisme. En volgens Tzortzaki: “Anticipeert daarop De sancties zullen doorgaan in deze richting”, Wat zich vooral zorgen maakt over degenen die toeristenwoningen beheren zonder fysieke receptie.

MKB -bedrijven moeten gegevens van hun klanten verzamelen, maar gegevensbescherming kan hen bestraffen

De zelfstandigheid zit gevangen tussen Twee eisen die vooraan botsen: Aan de ene kant moeten ze Controleer de identiteit van de reiziger en communiceer bepaalde gegevens aan de veiligheidstroepen en lichamen (de 4/2015 en RD 933/2021); anderzijds verbiedt de AEPD hen om de ID te scannen, omdat het het principe van schendt Gegevensminimalisatie van de RGPD (art. 5.1.c), die alleen de strikt noodzakelijke informatie dwingt.

De prioritering van de expert vertaalt zich in een Verbod op het scannen of fotokopiëren van het DNI/Paspoort Om de gast te registreren, zelfs wanneer het inrichting alleen van plan is Automatisch vastleggen De velden vereist door Royal Decreet 933/2021.

De AEPD verdedigt dat de Visuele verificatie van het document in het gezicht -tot -face register of met elektronische media die geen volledige afbeeldingen behouden van het document.

De botsing verschijnt, zoals Tzortzaki benadrukte, in omgevingen Geen fysieke ontvangst of met een Inchecken op afstandwaarin “Er worden geen duidelijke technische alternatieven aangeboden die het verifiëren van identiteit met garanties mogelijk maken zonder een teveel aan behandeling op te gaan. ”

Het gevolg, waarschuwde dat de advocaat een Groeiende juridische onzekerheid Voor freelance en accommodatie MKB: ja Ze verifiëren niet genoeg, risico's om hun plicht te verbreken vóór het interieur; Ja Digitaliseer het document Om het proces te versnellen, worden ze blootgesteld aan sancties vanwege overtollige gegevens.

“De Gebruik van digitale tools Precies ontworpen om de identiteit te verifiëren, zonder een specifieke technische gids die effectief die verificatie op afstand gelijk staat aan de fysieke tentoonstelling van het document, 'vatte hij samen.

De zelfstandige en MKB's die zijn gewijd aan onderdak bevinden zich in een situatie van absolute juridische onzekerheid.

Een sanctie van 70.000 euro die twijfels van evenredigheid verhoogt

De botsing van interpretaties tussen wat de wet vereist en wat de AEPD -sancties zijn duidelijkste weerspiegeling hebben gehad in de laatste resolutie tegen een accommodatie, een boete met een boete 70.000 euro voor het scannen van de ID van zijn klanten. Het bedrag, gereduceerd tot 42.000 in geval van vrijwillige betalingis veel superieur aan de sancties die tot nu toe waren toegepast (tussen 1.000 en 30.000 euro) en markeert een verharding van de criteria van het staatsagentschap.

Het opvallende is dat het gesanctioneerde bedrijf beweerde Dat heeft geen enkele afbeelding van het document opgeslagen. Advocaat Rodanthi Tzortzaki is van mening dat dit punt rekening had moeten houden: “Het bedrijf legde uit dat ze de beelden niet bewaarde en deed alleen hetzelfde als een receptioniste kon doen: fysiek kijken.”

De sleutel tot de sanctie is dat de RGPD de schending van basisprincipes, zoals minimalisatie, als een Zeer ernstige overtreding (Art. 83.5). Maar, zoals Tzortzaki waarschuwt, lost dit het achtergrondprobleem niet op. “Voor een autonome of kleine MKB van de accommodatie sector, wordt een boete van deze hoeveelheid nauwelijks aangenomen en kan een overmatig vastberaden effect hebben, onevenredig aan het reële risico,” keerde hij.

Deze sanctie is een voorbeeld van een verandering van natuurlijk: de AEPD lijkt bereid te zijn De ernst past het minimalisatieprincipe toe, zelfs in gevallen waarin er geen gegevensopslag is. Dat verklaart dat resoluties de afgelopen maanden tegen toeristische bedrijven hebben vermenigvuldigd.

Een toename van sancties die volgens de advocaat niet worden begrepen zonder de impact van digitalisering en de nieuwe bijbehorende risico's te analyseren.

Waarom vermenigvuldigen sancties zich in de toeristische sector voor gegevensbescherming?

De AEPD -boetes zijn niet geïsoleerd of specifieke gevallen: in de afgelopen maanden zijn resoluties tegen toeristische accommodaties vermenigvuldigd. De reden? Een groeiende spanning tussen de digitalisering van de registratieprocessen en de principes van gegevensbescherming vereist door voorschriften.

Volgens advocaat Rodanthi Tzortzaki is het onderliggende probleem dat onderdakingen, om hun wettelijke verplichting te vervullen om de identiteit van reizigers te verifiëren, hun toevlucht nemen tot digitale systemen zoals de MRZ -lezing van de DNI of Paspoort, ontworpen om verificatie te automatiseren. “Hoe meer technologische oplossingen plaatsvinden, hoe meer conflicten worden gecreëerd Wat betreft gegevensbescherming, omdat openbare administraties ze vaak niet begrijpen, 'zei hij.

Aan deze spanning wordt een andere factor toegevoegd die de autoriteiten baart: de nabootsing van identiteit in digitale omgevingen. Zoals de advocaat opmerkte: “Met een enkel incident van Cybersecurityhonderden of duizenden DNI kunnen in handen van oplichters belanden. “Dit is een van de redenen waarom de AEPD zo'n beperkend criterium toepast met automatische verificatiesystemen.

Het resultaat is dat de zelfstandige en kleine bedrijven van de sector zien hoe elke technologische vooruitgang die de registratie van klanten vergemakkelijkt een sanctionerend risico kan worden. En volgens Tzortzaki zal deze trend alleen maar toenemen: “We zullen zeker meer conflicten zien naarmate het gebruik van digitale oplossingen en kunstmatige intelligentie zich uitstrekt in reiziger records ”.

Een sanctielijn die afgelopen juni is versterkt met de publicatie, van een informatieve notitie van de AEPD zelf waarin het uitdrukkelijk verduidelijkt welke praktijken verboden zijn in het gastrecord.

De informatieve notitie van juni van de AEPD: een duidelijke kennisgeving aan de sector

Afgelopen juni wilde de AEPD twijfels regelen met een informatieve notitie die een sterke impact op de accommodatie -sector heeft gehad. Daarin herinnerde het bureau zich dat scherp dat Het is niet toegestaan ​​om een ​​kopie van de ID aan te vragen of paspoort voor gasten, zelfs niet met het argument om de registratie te versnellen.

Het bureau verduidelijkte dat de accommodaties alleen de gegevens moeten opschrijven die uitdrukkelijk vereist zijn door Royal Decreet 933/2021 (naam, documentnummer, nationaliteit, geboortedatum) en dat een visuele controle van het document of het gebruik van elektronische middelen die geen volledige afbeeldingen behouden voldoende is.

Voor advocaat Rodanthi Tzortzaki introduceert deze nota geen nieuwe verplichting, maar bevestigt de sanctielijn van het agentschap, omdat “het de interpretatie van de AEPD versterkt en dat verwacht De sancties zullen doorgaan in deze richting

Het probleem is dat dit criterium, zelfs in theorie duidelijk is, Biedt geen praktische oplossingen aan bedrijven die digitaal of zonder fysieke ontvangst werken. “De zakenman heeft de wettelijke verplichting om de identiteit te verifiëren, maar hij is beperkt tot het gebruik van tools die precies voor dat doel zijn ontworpen”, aldus de advocaat.

Praktische gevolgen voor freelance en ondernemingen

Voor zelfstandige en kleine toeristische bedrijven vertaalt de huidige situatie zich in een constante juridische onzekerheid. Ze moeten voldoen aan de wettelijke verplichting om de identiteit van hun gasten te verifiëren en gegevens naar de autoriteiten te verzenden, maar tegelijkertijd zijn ze verboden om digitale tools te gebruiken die dit proces faciliteren.

Advocaat Rodanthi Tzortzaki waarschuwde dat “dit voornamelijk van invloed is op toeristenwoningen Geen fysieke ontvangstwaar gezicht -tot -face verificatie onmogelijk is. In een omgeving waar meer en meer processen op afstand worden gedaan, Het is verrassend dat De AEPD erkent niet dat een systeem dat alleen de ID leest zonder op te slaan, hetzelfde doel vormt als de fysieke tentoonstelling

Deze leegte van technische oplossingen genereert een duidelijk risico: elk autonome dat probeert de wet te vervullen via digitale procedures wordt blootgesteld aan hoge sancties, terwijl degenen die niet met voldoende strengheid verifiëren, hun verplichtingen met interieur kunnen doorbreken. “De ondernemer heeft een wettelijke verplichting om de identiteit te verifiëren, maar Het gebruik van digitale tools die precies voor dat doel is ontworpen, is beperktzonder levensvatbare alternatieven aan te bieden, 'vatte Tzortzaki samen.

Het resultaat is een panorama waarin boetes niet alleen een Verwoestend economisch effect voor kleine bedrijven, maar genereren ook een afschrikking effect dat digitalisering remt van de sector.

Lieke

Lieke

Lieke is de verantwoordelijke van de blog en redactrice bij het mediaplatform InterimFase, waar ze haar expertise en passie voor de arbeidsmarkt inzet om het publiek te verrijken met inzichtelijke tips en advies. Met een achtergrond in communicatie en een diep begrip van carrièreontwikkeling, maakt ze het haar missie om lezers te begeleiden naar het realiseren van hun volledige professionele potentieel.

Kleine bedrijven hebben vier maanden om hun factureringsprogramma te wijzigen

Tragsa publiceert al 124 vacatures om te werken: vereisten en hoe het curriculum te verzenden


Neem contact met ons op

Wil je contact met ons opnemen, een vraag stellen of meer weten? Het is deze kant op !

contact@interimfase.nl